Идентификация и аутентификация пользователей
Download
1 / 11

ОКБ САПР - PowerPoint PPT Presentation


  • 117 Views
  • Uploaded on

Идентификация и аутентификация пользователей при работе подсистемы разграничения доступа в ОС Linux. Каннер А. М. ОКБ САПР. 1. Подключаемые модули аутентификации ( PAM ). Кратко о PAM….

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' ОКБ САПР' - cytheria-zenon


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

Идентификация и аутентификация пользователейпри работе подсистемы разграничения доступа в ОС Linux

Каннер А. М.

ОКБ САПР


1 pam

1. пользователейПодключаемые модули аутентификации (PAM)


Кратко о пользователейPAM…

  • Пришел на смену процедурам идентификации / аутентификации (и/а), интегрированным в отдельные приложения (login, su, sudoи пр.);

  • Является механизмом «внешней» аутентификации;

  • Фактически представляет из себя набор внешних модулей, которые можно встраивать в любые приложения;

  • Является основной системой и/а в ОС семейства Unix, в т.ч. GNU/Linux;


Процедура пользователей и/а с использованием PAM


Зачем нам пользователейPAM?

  • PAM предоставляет интерфейс для встраивания собственного механизма и/а взамен штатного в ОС семейства UNIX:

    • с поддержкой идентификации с помощью аппаратных идентификаторов (ТМ, card eID, ПСКЗИ ШИПКА и др.);

    • с возможностью дополнительной и/а как в АМДЗ, так и в собственном модуле ядра защиты, т.н. мониторе разграничения доступа (МРД) собственной подсистемы разграничения доступа;

    • с возможностью «сквозной» аутентификации пользователя в ОС.


2 linux pam

2. Подсистема разграничения доступав ОС Linux и PAM


Место МРД и доступаPAM в процессе загрузки ОС

  • отработка штатного BIOS;

  • передача управления загрузчику (в boot record);

  • загрузка ядра ОС и образа initrd в память, монтирование sysroot с доступом read-only;

  • загрузка МРД в ядро ОС;

  • запуск init, запуск служб ОС, перемонтирование sysroot на запись, монтирование дополнительных файловых систем;

  • запуск login (gdm или др.) и аутентификация пользователя с помощью PAMв ОС и МРД.


Порядок взаимодействия доступаPAM с МРД

  • Запускается утилита login (gdm или др.), делегирующая функции и/а PAM-модулю;

  • PAM-модуль:

    • запрашивает идентификатор (TMid) и пароль у пользователя;

    • рассчитывает хеш от TMid и передает в МРД (netlink);

  • МРД:

    • ищет пользователяв собственной БД и сравнивает полученное значение хеша;

      • если хеш совпадает – возвращает имя пользователя PAM (netlink)и заносит событие в лог;

      • если хеш не совпадает – возвращаетв PAM код ошибки и заносит событие в лог.


Кросс-делегирование аутентификации пользователя

  • В процессе аутентификации пользователя в МРД могут учитываться дополнительные параметры:

    • возможность входа указанного пользователя в систему (выполнение login);

    • возможность удаленного входа в систему;

    • возможность входа пользователя в зависимости от разрешенного времени работы;

    • прочие дополнительные проверки.

  • Т.о., например, утилита login делегирует функции и/а PAM-модулю, а PAM-модуль в свою очередь делегирует часть этих функций МРД в ОС.


Вместо заключения… аутентификации пользователя

Аппаратный компонент?

  • Следует помнить, что наиболее важным компонентом всей подсистемы разграничения доступа (и PAM в частности) является АМДЗ, с помощью которого должен осуществляться:

    • контроль компонентов подсистемы разграничения доступа (в т.ч. PAM-модулей);

    • контроль целостности образа /boot/initrd, в котором прописывается порядок начальной загрузки ОС (в т.ч. и загрузка монитора разграничения доступа);

    • контроль целостности ядра ОС - /boot/vmlinux;

    • контроль целостности настроек загрузчика (например, /boot/grub/grub.cfg)и самого загрузчика (boot record).


Идентификация и аутентификация пользователейпри работе подсистемы разграничения доступа в ОС Linux

Каннер А. М.

ОКБ САПР


ad